Dat de naam 'DigiD' de laatste maanden vaak misbruikt wordt in allerlei oplichtingstrucs, valse mails en verdachte sms'jes is onderhand wellicht een bekend gegeven. Toch kan het zomaar gebeuren dat er een geheel nieuwe variant opduikt, en dat is waar we het in dit artikel even over moeten hebben. Waar het normaal gesproken gaat om phishing, lijkt het hier namelijk een opzet te zijn naar een telefonische oplichtingstruc zoals we die kennen van de 'bankmedewerker', en misschien zelfs identiteitsfraude. Wat is er aan de hand?
Het verhaal begint ook dit keer met een sms, en dat is het gedeelte dat menigeen onderhand wellicht bekend in de oren klinkt. Dit is de tekst uit het sms-bericht:
Valse sms van 'DigiD'
[DIGID]: U ontvangt nog een teruggave van 817,38 EUR. Vraag nu uw teruggave aan via s.id/digidinlog
Dergelijke sms'jes hebben wij hier zonder te overdrijven al honderden keren gezien. Toch klikken we vrijwel altijd maar even op het linkje: wellicht is de opzet op een zeker ogenblik anders dan gebruikelijk. En je raadt het wellicht al, daar is in dit geval dus sprake van.
Wat zit er achter deze oplichtingstruc?
Waar je normaal gesproken bij jouw bank moet inloggen om deze zogenaamde teruggave te ontvangen (wat overigens altijd om nagemaakte inlogomgevingen van de betreffende banken gaat, dus van écht inloggen is überhaupt geen sprake), is hier iets anders aan de hand. Er wordt gehengeld naar de volgende gegevens:
- Je voor- en achternaam
- Je postcode en huisnummer
- Je telefoonnummer
- Je geboortedatum
- Je rekeningnummer
- Je e-mailadres
Vul je deze gegevens in? Dan krijg je de volgende boodschap op je scherm:
Zogenaamde bevestiging van 'DigiD'
Aanvraag succesvol ingediend
Hierbij is uw aanvraag ingediend.
Het zal tot 3 werkdagen duren voordat u de teruggave op uw opgegeven bankrekening krijgt gestort.
U ontvangt een bevestiging via de post.
Heeft u uw e-mailadres opgegeven? Dan ontvangt u de bevestiging in enkele ogenblikken!
Enfin, kijk zelf maar even:
De link uit het sms'je verwijst naar het domein uwteruggavebijdigid.us, en dat domein is op 30 september 2021 online gezet. Opvallend is dat er als technische contactpersoon een naam wordt genoemd: ene Mike Lettens uit Brielle zou er iets mee te maken hebben.
Het genoemde adres verwijst zo te zien naar een nieuwbouwperceel ten noordwesten van de in Zuid-Holland gelegen vestingstad Brielle: het is kennelijk zó nieuw dat het nog niet op Google Maps staat. Op dat adres zit een bouwbedrijf gevestigd, maar het is maar zeer de vraag of diegene hier iets mee te maken heeft: misbruik van adresgegevens valt ook niet uit te sluiten.
Wat zijn de risico's als je je gegevens invult?
Vooropgesteld: gegevens invoeren op een valse website zoals de website uit dit voorbeeld is nooit verstandig. Met wat verzonnen gegevens hebben wij de proef maar eens op de som genomen. Het beloofde e-mailtje met aanvullende informatie bleef uit en het achterlaten van een bestaand telefoonnummer leek ons om voor de hand liggende redenen ook niet zo handig, dus wat er precies gebeurt, weten we in dit geval niet zeker.
Wel kunnen we een aantal aannames doen. Er wordt gevraagd naar contactgegevens, dus het is goed denkbaar dat men op een later ogenblik telefonisch of per e-mail contact met je opneemt waarbij ze zich voordoen als DigiD-medewerker.
In dat geval kunnen we spreken over een variant op een oplichtingstruc die de laatste maanden voor zéér veel schade heeft gezorgd, want de truc is bekend in de vorm van bankhelpdeskfraude, oftewel 'bankmedewerkers' die jou – doorgaans telefonisch – benaderen omdat er onregelmatige, verdachte activiteiten zijn geconstateerd of iets dergelijks.
Ze willen dan bijvoorbeeld verifiëren of de informatie klopt door jouw – zélf ingevulde! – NAW-gegevens te noemen, zodat ze kunnen vaststellen dat ze met de juiste persoon spreken. Ook kunnen ze 'ter verificatie' je bankrekeningnummer noemen, zogenaamd om te controleren dat de 'teruggave' wel naar het juiste rekeningnummer gaat.
En dat kan zomaar de opmaat zijn naar een uitgekookte oplichtingstruc, waarbij ze éérst vertrouwen hopen te winnen door correcte NAW- en contactgegevens te noemen, zodat jij denkt dat je écht met een medewerker van de DigiD-helpdesk spreekt.
Je bent dan immers minder op je hoede, en dat maakt de kans groter dat je meegaat in het verhaal dat de oplichters vervolgens ophangen. Doorgaans moet je in dit soort gevallen even ergens inloggen, en de behulpzame medewerker zal je telefonisch wel even door het proces begeleiden.
Het behoeft wellicht geen nadere toelichting dat het daar vaak mis gaat: je wordt naar een valse website gelokt of je moet je geld even overboeken naar een (niet-bestaande) 'kluisrekening'.
Ook identiteitsfraude is een risico
Een ander denkbaar scenario is dat er naar aanleiding van jouw NAW- en contactgegevens wordt gevraagd om je identiteit te bevestigen: je dient dan een kopie van je paspoort, identiteitskaart of rijbewijs op te sturen ter verificatie.
Daarmee zet je de deur wagenwijd open voor identiteitsfraude, want met deze informatie kunnen kwaadwillenden een hoop schade aanrichten. Denk aan het plaatsen van bestellingen op jouw kosten of het openen van een bankrekening op jouw naam, allemaal zaken waar je niet op zit te wachten.
Ze beloven daarnaast een bevestiging per post of e-mail, dus een overtuigende, aanvullende nepbrief of -mail in de huisstijl van DigiD valt ook niet geheel uit te sluiten. Dit uiteraard met als doel om nóg meer gegevens los te peuteren.
Hoe het allemaal ook precies zit, we weten één ding zeker. Zowel de sms als de website zijn vals, en het feit dat er naar allerlei persoons- en contactgegevens wordt gehengeld, maakt de kans levensgroot dat ze deze informatie zullen misbruiken om op een later moment contact met je op te nemen.
Een oplichtingstruc van de wat langere adem, bij wijze van spreken, maar wel eentje die de potentie heeft om voor een hoop schade, ellende en narigheid te zorgen. Reden genoeg om niet op dergelijke verzoeken in te gaan, wat ons betreft.
